容器内部产生的可疑交互式 Shell
编辑容器内部产生的可疑交互式 Shell编辑
此规则检测到在正在运行的容器内部产生交互式 Shell 的情况。这可能表明潜在的容器逃逸尝试或攻击者试图未经授权访问底层主机。
规则类型: eql
规则索引:
- logs-cloud_defend*
严重性: 高
风险评分: 73
每隔: 5 分钟运行一次
从以下时间开始搜索索引: now-6m(日期数学格式,另请参见 其他回溯时间)
每次执行的最大警报数: 100
参考: 无
标签:
- 数据源:Elastic Defend for Containers
- 域:容器
- 操作系统:Linux
- 用例:威胁检测
- 策略:执行
版本: 2
规则作者:
- Elastic
规则许可证: Elastic License v2
规则查询编辑
process where container.id: "*" and
event.type== "start" and
/*D4C consolidates closely spawned event.actions, this excludes end actions to only capture ongoing processes*/
event.action in ("fork", "exec") and event.action != "end"
and process.entry_leader.same_as_process== false and
(
(process.executable: "*/*sh" and process.args: ("-i", "-it")) or
process.args: "*/*sh"
)
框架: MITRE ATT&CKTM
-
策略
- 名称:执行
- ID:TA0002
- 参考网址:https://attack.mitre.org/tactics/TA0002/
-
技术
- 名称:命令和脚本解释器
- ID:T1059
- 参考网址:https://attack.mitre.org/techniques/T1059/
-
子技术
- 名称:Unix Shell
- ID:T1059.004
- 参考网址:https://attack.mitre.org/techniques/T1059/004/